Categorieën

Sinds 1 januari 2016 is de meldplicht datalekken van kracht, een uitbreiding op de Wet bescherming persoonsgegevens (Wbp). Deze meldplicht stelt het voor organisaties verplicht om een (vermeend) datalek direct te melden bij de Autoriteit Persoonsgegevens. Laat je dit na, dan loop je het risico dat er een forse boete volgt. Het kan dus geen kwaad om na te gaan of je overal aan hebt gedacht en ervoor hebt gezorgd dat de privacygevoelige data in je bedrijf veilig zijn. Een checklist.

Inhoudsopgave

Snel inzicht in de belangrijkste ondernemerszaken: met de Top 3 Scans van De Zaak: de AOV Scan, de Aftrekposten Scan en de Pensioen Scan

1.    Welke gegevens worden er in je organisatie verwerkt en hoe zijn die beschermd?

Stel vast welke typen persoonsgegevens worden verwerkt. Breng in kaart welke beveiliging van toepassing is op deze data. Niet alleen is encryptie een belangrijke vorm van bescherming, de meldplicht datalekken verlangt ook dat privacygevoelige gegevens aantoonbaar beschermd zijn. Zorg dus voor de juiste rapportagetools.

2.    Werk je samen met andere partijen voor de verwerking van persoonsgegevens?

Als je met andere leveranciers of partners werkt voor de verwerking van privacygevoelige gegevens, is het noodzakelijk heldere afspraken te maken. Deze afspraken kun je regelen in een zogenaamde bewerkersovereenkomst. Daarin moeten afspraken staan ten aanzien van de meldplicht datalekken en wie wanneer aansprakelijk is in het geval van een datalek.

3.    Weten je medewerkers hoe ze met privacygevoelige data moeten omgaan?

In vrijwel ieder beveiligingsscenario is de mens de zwakste schakel. Het is noodzakelijk dat medewerkers training krijgen in hoe zij omgaan met persoonsgegevens, hoe ze deze data versturen en met wie ze ze delen. Belangrijk is ook de naleving van deze procedures. Mocht het onverhoopt toch misgaan, dan is het cruciaal dat medewerkers weten hoe ze moeten handelen. Een protocol opstellen voor het geval er een datalek ontstaat, is geen overbodige luxe.

4.    Weet je wanneer je een datalek moet melden?

De Autoriteit Persoonsgegevens heeft conceptrichtsnoeren opgesteld voor de meldplicht datalekken. Deze richtsnoeren helpen organisaties te bepalen of er sprake is van een datalek dat ze moeten melden aan de toezichthouder en eventueel aan betrokkenen.

5.    Zijn er interne en externe controles gepland?

Het verdient aanbeveling je organisatie en de verwerking van persoonsgegevens geregeld aan controles te onderwerpen. Dat zou zowel vanuit de eigen organisatie moeten gebeuren als door externe partijen, zoals bewerkers. Degenen die controleren moeten bekijken of medewerkers in de organisatie de afspraken in de bewerkersovereenkomst en de eisen omtrent de meldplicht datalekken voldoende naleven. Om helemaal zeker te zijn kun je alvast een persoon aanstellen die verantwoordelijk is voor privacyzaken: een zogenoemde functionaris gegevensbescherming. Deze functionaris zal voor veel organisaties in de Europese wetgeving van 2018 verplicht worden.

Pieter Lacroix is managing director bij Sophos Nederland.

Is jouw pensioenpot al gevuld een zorgeloze oude dag? Check binnen 2 minuten welke pensioenopties voor jou (fiscaal) het beste zijn. Start de gratis Pensioen Scan van De Zaak.

Lees ook…
Ben je wel eens onverwacht getrakteerd op een parkeerboete tijdens het laden en lossen? Die frustratie kennen veel ondernemers. Maar wanneer is…
Ieder kwartaal is er weer nieuwe regelgeving waarmee zzp’ers en ondernemers te maken krijgen. Per 1 oktober 2023 gaat weer een aantal wetten en…
Wat gaat er per 1 januari 2024 veranderen voor zzp’ers en mkb’ers? Een overzicht van de belangrijkste…
Prinsjesdag 2023 is achter de rug en het kabinet heeft de Miljoenennota overhandigd en het Belastingplan 2024 gepresenteerd. De redactie van De Zaak…
Consumenten in Nederland kunnen zich beroepen op verschillende wetten en regels als er iets mis is met een afgenomen dienst of product. Maar kun je als…
Bedrijfshulpverlening (bhv) is een onderwerp dat voor de meeste mkb-ondernemers niet bovenaan hun to-dolijst staat. Maar eigenlijk zou dat wel moeten,…